Закон Муэнча

Ничто так не способствует успешному внедрению новшеств, как отсутствие проверок.

В одной адвокатской конторе на стене висит картина, точно отражающая сущность данной профессии: ...

Компилятор Rust добавлен в состав дерева исходных текстов Android
Fri, 19 Jul 2019 22:52:34 +0300

Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play
Fri, 19 Jul 2019 07:52:42 +0300

В Chrome 76 будет блокирована лазейка для определения просмотра в режиме инкогнито
Thu, 18 Jul 2019 22:16:10 +0300

Кеннет Рейц в поисках новых мейнтейнеров для своих репозиториев
Thu, 18 Jul 2019 07:16:37 +0300

Разработчики Fedora намерены прекратить формирование репозиториев для архитектуры i686
Wed, 17 Jul 2019 18:21:36 +0300

ISO-образы дистрибутива Nitrux стали платными
Wed, 17 Jul 2019 17:05:31 +0300

Возобновление работы по интеграции поддержки Tor в Firefox
Wed, 17 Jul 2019 10:53:05 +0300

В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные
Wed, 17 Jul 2019 10:47:46 +0300

Компания Epic Games пожертвовала 1.2 млн долларов Blender и развивает продукты для Linux
Tue, 16 Jul 2019 06:27:05 +0300

Microsoft открыл код Quantum Development Kit для разработки квантовых алгоритмов
Mon, 15 Jul 2019 21:44:07 +0300

В ночных сборках Firefox для Linux активирован WebRender для видеокарт NVIDIA
Mon, 15 Jul 2019 09:35:10 +0300

Разработчики Haiku развивают порты для RISC-V и ARM
Fri, 12 Jul 2019 09:27:46 +0300

Mozilla заблокировала сертификаты удостоверяющего центра DarkMatter
Wed, 10 Jul 2019 09:26:28 +0300

Официально завершена сделка о покупке Red Hat компанией IBM
Tue, 09 Jul 2019 16:42:12 +0300

Компания Mozilla определила получателей грантов исследовательским проектам
Tue, 09 Jul 2019 11:34:54 +0300

Новости OPENNET
Новости

Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз.

Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют.

После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.

Всем пользователям было предписано сменить пароли. Но в процессе смены паролей в основном клиенте Riot пользователи столкнулись с пропаданием файлов с резервными копиями ключей для восстановления шифрованной переписки и невозможности доступа к истории с прошлыми сообщениями.

Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола, использующего в том числе алгоритм Double Ratchet (также используемого как часть протокола Signal), поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).

Дополнение: Опубликовано продолжение с описанием второго взлома, информацией об утечке PGP-ключей и обзором проблем с безопасностью, которые привели к взлому.

9.1428 70.7941 0.5838 62.8666

НОВОСТИ: Выпуск дистрибутива Deepin 15.11, развивающего собственное графи ... Fri, 19 Jul 2019 23:13:20 +0300

Представлен релиз дистрибутива Deepin 15.11, основанного на пакетной базе Debian, но развивающего собственный рабочий стол Deepin Desktop Environment и около 30 пользовательских приложений, среди которых музыкальный проигрыватель DMusic, видеоплеер DMovie, система обмена сообщениями DTalk, инсталлятор и центр установки программ Deepin Software Center. Проект основан группой разработчиков из Китая, но трансформировался в международный проект. Дистрибутив поддерживает русский язык. Все наработки распространяются под лицензией GPLv3. Размер загрузочного iso-образа 2.3 Гб (amd64).

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome